Zugriffsprobleme via PPTP

[controllero]

Moin.....

Ich habe folgendes Problem:
Nach der Installation des VPN-Servers auf der Synology RackStation bekomme ich nach aufgebauter VPN-Verbindung (PPTP) keinen Zugriff auf meine Geräte im Netz der RackStation. Der VPN-Tunnel wird problemlos aufgebaut, die Statusinformationen des VPN-Servers auf der RackStation, wie auch das Protokoll lassen diesen Schluss zu....
Ich versuche jetzt mal meine Einstellungen zu erklären:

RackStation:
IP-Adressbereich des VPN-Servers auf der RackStation: 10.0.0.0-10.0.0.255
Manuelle DNS ist die IP meines Routers (Fritz!Box): 192.168.1.1
IP der RackStation ist 192.168.1.11

Client (MacBook):
Hat in den VPN-Verbindungseinstellungen als Serveradresse die DynDNS-Adresse eingetragen, mit der die Fritz!Box im Internet hängt.
Benutzername, Verschlüsselung und Authentifizierungseinstellungen stimmen auch, sonst würde der VPN-Verbindungsaufbau ja schon scheitern...

Fritz!Box:
DynDNS funktioniert einwandfrei
1723 TCP ist auf die IP der RackStation freigegeben
IP ist die 192.168.1.1
Weitere Geräte sind im Adressbereich 192.168.1.xxx vorhanden

Jetzt das Problem:
Nach erfolgtem VPN-Verbindungsaufbau müsste ich doch mit meinen Client (MacBook) "aus der Ferne" die Fritz!Box unter der IP 192.168.1.1, respektive die RackStation unter der IP 192.168.1.11 erreichen können, oder? Geht aber nicht! Einzig die Eingabe der IP 10.0.0.0 bewirkt, dass ich das Webinterface der RackStation sehe! - Was mache ich falsch?
Ich habe auch schon "versucht", mit einer statischen Route auf der Fritz!Box das VPN-Netzwerk der RackStation 10.0.0.0 mit der Subnetzmaske 255.255.255.0 auf die Gateway-IP der RackStation 192.168.1.11 zu routen... Brachte auch keine Abhilfe des Problems und scheint demnach auch nicht von Nöten zu sein....?

Ich bin schlicht am Ende von meinem Latein.... Hilfe wird gerne angenommen! Danke schon mal dafür vorab!

 

[fpo4711]

Hallo und Willkommen im Forum,

ersteinmal bitte die Regel Nr.1 prüfen.

Subnetz Client ungleich Subnetz Tunnel ungleich Subnetz Server

Bei deinem Tunnel und dem Serversubnetz ist das ja schon mal der Fall. Befindet sich dein Client auch in einem anderen Subnetz als dem 192.168.1.0 ? Wenn Du das beispielsweise alles Zuhause testest und nicht von extern, dann ist das nämlich der Fall. Somit funktioniert dann zwar der Verbindungsaufbau aber das Routing kann nicht funktionieren.

Und nun zum Thema Routing. Wenn Du auf die Geräte der Serverseite zugreifen willst, mußt Du clientseitig manuell eine Route setzen. Entweder auf deinem Clienten oder aber clientseitig auf dem Router. Wenn Du die Clientseitigen IP's nennst und das Betriebssystem auf dem Du mit dem Clienten unterwegs bist kann ich Dir die gerne nennen.

Und zu guter Letzt. Wenn Du PPTP nutzt mußt Du in deinem Router (Je nach Modell) VPN-Passthru oder aber eine Weiterleitung von dem Protokoll GRE aktivieren. Ich würde Dir aber OpenVPN ans Herz legen. Ist sicherer und die Routen kann man hier automatisiert vom Server aus setzen lassen.

Gruß Frank

 

[controllero]

Moin, und Danke für deine Antwort!

Also, mein Client, in diesem Fall ein MacBook mit OS X, bekommt auf der Arbeit eine IP aus dem Netz 192.168.2.0 (ergo 192.168.2.xxx). Demnach ist die angesprochene Regel Nr. 1 ja erfüllt, oder (Subnetz Client 192.168.2.xxx ungleich Subnetz Tunnel 10.0.0.xxx ungleich Subnetz Server 192.168.1.xxx)?

Bezüglich des Tests: Ich habe die Konstellation von der Arbeit aus getestet, also mit vorbezeichneten IP's....

Was das Routing betrifft, hast du jetzt ja die benötigten Informationen...

VPN-Passthrough, respektive die Weiterleitung des Protokolls GRE habe ich jetzt auf meinem Router, einer Fritz!Box, folgendermassen gemacht:
GRE weitergeleitet an die IP der RackStation, richtig? Mit der Portweiterleitung 1723 TCP war es demnach nicht getan? - Geändert hat es an der Situation aber leider nichts!
Ich bin eigentlich bewusst die Sache mit PPTP angegangen, da ich den Tunnel mit iOS-Geräten (iPhone/iPad) nutzen möchte (SkyGo im Ausland braucht eine deutsche IP). Und die iOS-Geräte und OpenVPN sind ja so 'ne Sache für sich, will sagen: Mit Bordmitteln nicht machbar...

Was ich mittlerweile festgestellt habe ist folgendes: Wenn ich in den Verbindungseinstellungen des Clients einen Haken an die Option "Gesamten Verkehr über die VPN-Verbindung senden" mache, funktioniert auch das Aufrufen der Geräte mit den jeweiligen IP's. Das Problem ist dann aber, dass ich natürlich auch den Upload meines Routers, respektive meiner Internetverbindung zu Hause nutze und die ist eben für das Unterfangen SkyGo im Ausland etwas zu gering....

 

[fpo4711]

Hallo controllero,

na fast perfekt. Da standest Du ja nur ganz knapp vor deinen Ziel. Dir fehlt nur noch eine Route auf der Clientseite. Ich vermute mal Windows. Dann wäre das hier die Lösung.

route add 192.168.1.0 MASK 255.255.255.0 10.0.0.0

Du hattest leider deine Subnetzgröße nicht erwähnt. Hab mal /24 angenommen weshalb jetzt in der Route eine Maske von 255.255.255.0 steht. Falls nicht dann ändern.

Daran denken das Du dies auf der Kommandozeile deines PC's mit Administratorrechten ausführst. Sonst schreit er mit einer Fehlermeldung in etwa in der Form "Erhöhte Rechte nötig" oder so ähnlich.

Leider mußt Du diese Route dann immer manuell eingeben oder aber Du legst Dir diesen Befehl in ein Batchfile auf dem Desktop. An das "Ausführen als Administrator" denken.

Und auch bei OpenVPN hab ich gute Nachrichten für Dich, diese Misere soll in kürze behoben sein. Ich denke mal das ist in der Version 1.02 dann auch mit der DS ohne generieren von zusätzlichen Keys/Zertifikaten möglich.

Gruß Frank

 

[controllero]

Hi!

Ich nutze als Client ein MacBook mit OS X, demnach nicht Windows... Was ändert sich dadurch?
255.255.255.0 passt soweit (ich weiß).....

 

[fpo4711]

Hi!

Ich nutze als Client ein MacBook mit OS X, demnach nicht Windows... Was ändert sich dadurch?
255.255.255.0 passt soweit (ich weiß).....

Sorry, hattest Du ja geschrieben. Hier mal ein Automator-Script welches ich mal in der Anwendung hatte:

on run {input, parameters}
	set result to do shell script "route add -net 192.168.1.0 -interface ppp0" with administrator privileges
	return result
end run

Oder aber einzeln

route add -net 192.168.1.0 -interface ppp0

Denke mal das Interface ppp0 sollte auch bei Dir stimmen, wenn nicht dann anpassen.

Gruß Frank

 

[controllero]

Hi,

mit der Eingabe im Terminal von: route add -net 192.168.1.0 -interface ppp0
bringt er mir die Meldung: route: must be root to alter routing table

Welche Schnittstelle ist denn die ppp0?

 

[fpo4711]

Dann setze nur ein su davor:

su route add -net 192.168.1.0 -interface ppp0

Wenn Du nur eine VPN-Verbindung angelegt haben solltest, dann paßt das schon. Das ist das Interface deiner VPN-Verbindung.

Gruß Frank

 

[controllero]

Hi,

nach Eingabe als SU und Bestätigung mittels des Passworts gibt er mir ein lapidares "Sorry" aus.....
Ich habe auf dem Macbook neben der PPTP-Verbindung mehrere VPN-Verbindungen abgelegt (allerdings sind diese alle IPSec)....

Aktuell nutze ich die WiFi-Schnittstelle en0, falls das weiterhilft.....

 

[fpo4711]

Du hast auch zuerst die VPN-Verbindung zu deiner DS aufgebaut. Ansonsten kannst Du Dir die Interfaces mit ifconfig anschauen.

Gruß Frank

 

[controllero]

Also die Schnittstelle passt wohl.... Nach Eingabe von ifconfig kommt:

ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1396
inet 10.0.0.1 --> 10.0.0.0 netmask 0xff000000

Allerdings kommt vor, oder nach dem VPN-Verbindungsaufbau mittels der Eingabe von:

su route add -net 192.168.1.0 -interface ppp0

immer das "Sorry"....

Was mache ich falsch?

Und weiter: Was hat es mit dem Phänomen auf sich, dass alles nach Anklicken der Verbindungsoption "Gesamten Verkehr über die VPN-Verbindung senden" funktioniert?

Und.... Kann ich die Route nicht auch auf der Fritz!Box einrichten...?

 

[fpo4711]

Dann gib doch mal nur su und passwort ein und danach auf dem erscheinenden Prompt dann route ....

Und weiter: Was hat es mit dem Phänomen auf sich, dass alles nach Anklicken der Verbindungsoption "Gesamten Verkehr über die VPN-Verbindung senden" funktioniert?

Also Phänomen ist das nicht, sondern völlig korrekt. Wenn der Haken gesetzt ist läuft alles über die VPN-Verbindung. Wenn Du aber den Haken entfernst und eine Route setzt dann eben nur der Verkehr der auch für das Subnetz auf der anderen Seite gedacht ist. Das ist doch dein Ziel oder?

Gruß Frank

 

[controllero]

Hmmmm... Auch mit su und Passwort-Eingabe kommt "Sorry" und das Passwort ist definitiv korrekt...

Könnte ich die Route, um das Clientseitig zu umgehen, nicht auch folgendermaßen auf der Fritz!Box einrichten:
IPv4-Netzwerk: 192.168.1.0
Subnetzmaske: 255.255.255.0
Gateway: 10.0.0.0

 

[controllero]

So, jetzt wurde ein Schuh draus....

Terminal: sudo su, Eingabe Passwort - passt!
Route nach VPN-Verbindung: route add -net 192.168.1.0 -interface ppp0 - passt!
Geräte im Subnetz sind jetzt erreichbar....! - Danke

(Hoffentlich) letzte Frage:
Könnte ich die Route, um das alles clientseitig zu umgehen, nicht auch folgendermaßen auf der Fritz!Box einrichten:
IPv4-Netzwerk: 192.168.1.0
Subnetzmaske: 255.255.255.0
Gateway: 10.0.0.0

 

[fpo4711]

Hab das ganz vergessen. Auf dem Mac mußt Du erstmal den root freischalten. Macht man eben nur einmal Weiß jetzt auch nicht mehr wie das ging. Versuchen kannst Du das ja mal auf der Fritzbox, sollte dann aber als Gateway nicht die 10.0.0.0 stehen sondern die IP deines Mac. Weiß nicht ob der von Haus aus so konfiguriert ist das er das weiterleitet.

Gruß Frank

 

[controllero]

sollte dann aber als Gateway nicht die 10.0.0.0 stehen sondern die IP deines Mac.

?

Die IP meines Mac, sprich des Clients, richtig(?), ändert sich ja jedes Mal wenn ich mich bei der Arbeit mittels WiFi-Verbindung immer neu einlogge (DHCP)....

 

[fpo4711]

Ach, ich dachte eine Fritzbox clientseitig. Nein dann wird Dir keine andere Möglichkeit bleiben als die Route auf dem Clienten zu setzen. Hab hier auch was gefunden, wie Du den Root-Benutzer aktivieren kannst. Daran denken wenn da Menü steht ist das auch gemeint. Sonst suchst Du dir einen Wolf

Gruß Frank

Edit: Und der Link wär natürlich auch schön

 

[fpo4711]

Und hier noch die Lösung für dein letztes Problem.

Und jetzt Kapelle.

Gruß Frank

 

[controllero]

ok, herzlichen Dank schon mal soweit!
Noch kurz zu meinem Verständnis.... Das Routing aktiviere ich lediglich, wenn ich auf meine Geräte hinter dem VPN-Server mittels derer IP zugreifen will, oder?
Für das lapidare Unterfangen eine deutsche IP (von meinem VPN-Server) zu bekommen, um eben SkyGo im Ausland zu schauen, ist dieser "Zirkus" nicht notwendig, oder?

 

[controllero]

Und hier noch die Lösung für dein letztes Problem.

Und jetzt Kapelle.

Gruß Frank

Hosianna!